Голосових помічників можуть використовувати зловмисники, щоб підслуховувати розмови або обманом дізнаватися у користувачів конфіденційну інформацію.
Про це йдеться у дослідженні фахівців SRLabs.
Дослідники розповіли про ряд проблем в Alexa і Google Home, які розробники Google не можуть усунути вже кілька місяців. Загрозу становлять шкідливі програми, розроблені третіми особами.
Самі дослідники створили вісім додатків: чотири “навички” (skills) для Alexa і чотири “дії” (actions) для Google Home. Всі вони пройшли перевірки безпеки Amazon і Google і маскувалися під прості програми для перевірки гороскопів, за винятком однієї програми, замаскованої під генератор випадкових чисел. Насправді ці додатки потайки підслуховували користувачів або намагалися викрасти їх паролі.
Фішингові і шпигунські вектори атак пов’язані з бекендом Amazon і Google, які компанії надають розробникам додатків. Так, девелопери отримують доступ до функцій, які можуть використовувати для налаштування команд голосового помічника і його відповідей. Експерти виявили, що додавання послідовності “�. ” (U+D801, крапка, пробіл) може викликати тривалі періоди мовчання, протягом яких помічник, проте, залишається активним.
Ідея дослідників полягала в тому, щоб повідомити користувачеві про фіктивний збій додатка, додавши до цього “�. “. В результаті виникне тривала пауза, і через кілька хвилин користувачеві буде направлено нове фішингових повідомлень, що змусить жертву повірити, що це фішингове повідомлення жодним чином не пов’язане з попередніми.
Наприклад, на відеороликах продемонстровано, як додаток гороскопу повідомляє про помилку, але насправді залишається активним, та в кінцевому підсумку запитуює у користувача пароль від Amazon або Google, сфальшувавши повідомлення про оновлення.
На першому ролику можна помітити, що синій індикатор стану Alexa залишається активним і не вимикається, а значить, попередній додаток ще активний, і, як і раніше, намагається розібратися з “�. “.
Також комбінація “�. ” може використовуватися для прослуховування користувачів. У даному випадку поєднання символів застосовується вже після того, як шкідливий додаток відповів на команду власника пристрою. На цей раз “�. ” використовується для підтримки активності пристрою і запису довколишніх розмов, які зберігаються в логах і відправляються на сервер зловмисників для обробки. Ці атаки продемонстровані на роликах нижче.
Суть проблеми полягає у тому, що Amazon і Google спочатку перевіряють додатки для Alexa і Google Home, однак не перевіряють їх подальші оновлення. Навіть гірше, експерти SRLabs пишуть, що повідомили обох виробників про проблеми ще на початку поточного року, однак ті досі нічого не зробили і не заборонили використання довгих пауз, які можна створити за допомогою «�. ».
Тепер, коли звіт експертів був оприлюднений, і тим, що відбувається, зацікавилися ЗМІ, Amazon і Google поспішили видалити шкідливі програми і повідомили, що вже вжили необхідних заходів і мають намір переглянути процеси затвердження “навичок” і “дій”, щоб подібне більше не повторювалося.
У Google відзначають, що зараз компанія і так забороняє і видаляє будь-які “дії”, що порушують правила, а також має механізми для виявлення певних типів поведінки додатків і його перетину. Також в Amazon і Google підкреслили, що пристрої за жодних обставин не повинні навіть запитувати в користувачів паролі від облікового запису.
Зверніть увагу, що останнє оновлення операційної системи для Mac, MacOS Catalina, було випущено на початку цього тижня, і разом із цим з’явився цілий список проблем – як незначних, так і великих.
Також компанія Microsoft оголосила, що розширена підтримка для Office 2010 буде діяти до 13 жовтня 2020 року. Після цієї дати офісний пакет версії 2010 більше не буде отримувати оновлення безпеки.
Дослідники з кібербезпеки з компанії Fortinet виявили декілька вразливостей в роутерах D-Link. Багато з цих маршрутизаторів досі знаходяться у вільному продажі в інтернет-магазинах, хоча D-Link вже припинила їх виробництво і підтримку. Як перевірити, чи Ваш роутер досі підтримується виробником і для нього доступні оновлення безпеки, дізнайтесь зі статті.
Не всі загрози для дитини в Інтернет-просторі є результатом дій кіберзлочинців. Часто проблеми юних користувачів можуть бути спричинені знущаннями товаришів. Вже давно цькування (буллінг) серед підлітків вийшло за межі школи та поширилося на кіберпростір.
